سنناقش في هذه المقالة كيف يقوم التحقيق المسبق ل Kerberos بالمساعدة في التخفيف من حدة هجمات كلمات المرور النشطة.كما سنتحدث ايضا عن كيف تفشل الأدوات المعروفة في تقديم لائحة بحسابات المستخدم التي قامت بتعطيل التحقيق المسبق ل Kerberos، وكيف يمكن رصد وتشغيل التحليل المسبق لهذه الحسابات بسهولة.
يقوم تحقيق Kerberos في بيئة الويندوز باستخدام مركز التوزيع الرئيسي (KDC) للتأكد من هوية العملاء وخوادم الشبكة،. ويقبل مركزالتوزيع الرئيسي طلبات من عملاء Kerberos ويتفقد هوياتهم باستخدام خدمة إدارة البيانات بالدليل النشط، ويمنح بطاقات رفع المشكلات للعملاء بعد التحقق من حلها بشكل ناجح
يبدو كآلية آمنة للتحقق، أليس كذلك؟ حسنا، انتظر
لازالت عملية تحقيقKerberos مليئة بنقاط الضعف التي تستغلها العديد من الهجمات ،وتشمل هجمات كلمات المرور. ومن الممكن احباط هجمات المرور النشطة من خلال تشغيل خاصية التحقيق المسبق ب Kerberos.
ويقوم مركز التوزيع الرئيسي بتشغيل هذه الخاصية تلقائيا في جميع حسابات المستخدم،ولكن دائما ما يقوم المسئوولين بتعطيل هذه الخاصية في بعض حسابات المستخدم للاختبار والتلقائية واكثر من ذلك.
التحقيق المسبق و كيف يمكن إحباط هجمات كلمات المرور النشطة
يقوم التحقيق المسبق بمساعدة العملاء على إثبات هويتهم من خلال شمل تشفير كلمة المرور عند إرسال طلب بطاقة رفع المشكلات الى مركز التوزيع الرئيسي . كما تشمل طلبات بطاقات رفع المشكلات ايضا تفاصيل مثل الطابع الزمني الخاص بالعميل، و لائحة التشفير الخاصة بعناوين بروتوكول الإنترنت ، والعمر الإفتراضي للبطاقة.
وعندما يستقبل مركز التوزيع الرئيسي الطلب، يقوم بفك تشفير الطلب باستخدام اجزاء كلمات المرور من الدليل النشط(AD). واذا نجح فك التشفير ،يبدأ مركز التوزيع الرئيسي في العمل على بطاقة رفع المشكلة ؛ امااذا فشل ،يقوم بإرسال رسالة خطأ للعميل . عندما يتم تشغيل التحقيق المسبق ب Kerberos لن يستطيع العميل إرسال طلب وهمي الى مركز التوزيع الرئيسي المسئول عن بطاقات رفع المشكلة ، لانه يجب تشفير الطلب باستخدام الطابع الزمني اولا .
وعندما يتم ارسال طلب الى مركز التوزيع الرئيسي ، يتم التحقق من كل طابع زمني من قبل مركزالتوزيع الرئيسي للتاكد من انه لم يتم إرساله من قبل.وبالإضافة الى انه يتم إرسال الطابع الزمني الخاص بكل طلب من خلال وقت خادم الشبكة.
فإذا لم يتم العثور على الطابع الزمني للطلب خلال خمس دقائق بوقت خادم الشبكة، سيتم رفض الطلب.
و إذا قرأ مركز التوزيع الرئيسي الوقت بشكل صحيح، سيضمن ان الطلب ليس ردا على طلب سابق.
اذا تم تعطيل التحديد المسبق ، من الممكن ان يستطيع المخترق اخذ بطاقة رفع المشكلة بدون استخدام الانترنت وتنفيذ هجوم قوي ليتسبب بانهيار كلمة المرور ، واكمال طلب التحديد دون ترك اثر. ومع تشغيل التحديد المسبق، في كل مرة يقوم المخترق بمحاولة إدخال كلمة مرورجديدة يجب ان يقوم بالاتصال بمركز التوزيع الرئيسي وبالرغم من ذلك يستطيع المخترق عمل ذلك اكثر من مرة، ليكون هناك طلب تسجيل دخول في كل مرة يفشل بها التحديد المسبق.
كيف يمكن تعريف الحسابات من خلال تعطيل خاصية التعديل المسبق ل Kerberos:
الأدوات المعروفة ضد ADManager Plus :
إذا قمت بتقييم مخاطر الدليل النشط ، سيشير الى ان بعض المستخدمين لديهم خاصية التحديد المسبق ب Kerberos معطلة. وبالرغم من ذلك ،لن يخبرك ما هي الحسابات. ولعمل لائحة لحسابات المستخدم ذات الصيغة المعطلة، ستحتاج إما الى إنشاء فلاتر LDAP معقدة او نصوص Poweshell او استخدام اي اداة اخرى.
مع وجود خاصية التقارير المعدلة من ADManager Plus ، يمكنك تحديد حسابات المستخدم الغير آمنة بسهولة بضغطة فقط لتشغيل خاصية التحديد المسبق ب Kerberos من التقرير نفسه.
ويعتبر التقرير الذي سيساعدك في العثور على حسابات المستخدم مع تعطيل التحديد المسبق ب Kerberos ، هو حسابات المستخدم بدون التقرير المحدد مسبقا ب Kerberos تحت التقارير المعدلة ب ADmanager Plus.
ويمكنك من خلال لائحة حساب المستخدم، تأكيد إذا كان من الضروري تعطيل التحديد المسبق Kerberos للمستخدمين . واذا احتاج الحساب الى التحديد المسبق ، فيمكنك تشغيل التحديد المسبق ل Kerbeors لهذا الحساب من التقرير نفسه .
لقد ناقشنا في هذا المقال التحديد المسبق ل Kerberos واهميته في التخفيف من حدة هجمات كلمات المرور .ك
كما تحدثنا ايضا كيف يمكن رصد المستخدمين الذين قاموا بتعطيل التحديد المسبق وتشغيله لهذه الحسابات بضغطات قليلة باستخدام خاصية التقارير المعدلة من ADManager Plus.
احصل على نسختك التجريبية المجانية من ADManager Plus
المصادر:
